공공기관 사이트 접속했더니 순식간에 노예폰으로…

“○○시입니다. 귀하의 개인정보에 대해 심각한 문제가 발생했으니 ○○시청 홈페이지에 들어오셔서 확인하시기 바랍니다 http://spp.△△△△△.go.kr/main/freeboard=”

아이폰 사용자들은 이런 문자메시지를 받은 후 함부로 클릭해서는 안 된다. 해커가 시청, 언론기관 등 공신력 있는 사이트에 만든 임의로 해킹프로그램을 심어놓고, 이를 읽는 아이폰을 강제로 탈옥시키기 때문이다. 탈옥된 아이폰에 있던 사진, 동영상, 전화번호 등 개인 정보는 고스란히 해커 손에 들어간다. 실험결과 ○○시 사이트에 접속하는 순간 아이폰은 순식간에 `탈옥폰` `노예폰`으로 변했다.

23일 보안 업계는 믿을 수 있는 기관이나 지인을 가장해 아이폰 사용자에게 문자를 보내고, 이를 통해 사이트에 접속한 아이폰을 해킹하는 이른바 `아이폰 문자 메시지 피싱`을 주의해야 한다고 경고했다.

해커들이 포털 · 언론 · 공공기관 등의 게시판에 아이폰 피싱 탈옥이 가능한 PDF 파일을 올려놓은 후 아이폰 사용자들이 무심코 해커의 피싱 문자를 클릭, PDF 파일이 자동으로 읽히는 동시에 강제 탈옥시키는 방식이다. 사파리 브라우저 내 PDF 뷰어가 취약하다는 점을 간파, 해커들이 이점을 노려 해킹프로그램을 만들었기 때문이다. 애플이 취약점을 파악하고 보안 패치를 배포하고 있지만 상당수 아이폰 사용자가 이를 적용하지 않은 상태다.

시큐빌 한 관계자는 “공공기관·언론사·포털 등 게시판에 들어가 아이폰 탈옥용 PDF 파일을 올려두고 아이폰 사용자에게 문자메시지를 보내면 거의 대부분이 이를 클릭해 자동탈옥이 될 수 있다”고 말했다.

그는 “아이폰 사용자들은 출처가 확실한 문자 메시지일지라도 바로 클릭하지 말고 다시 한 번 확인해보는 게 최선책”이라며 “포털 · 언론사 · 공공기관 등의 보안 관리자도 홈페이지가 해커의 탈옥 도구로 활용되지 않도록 홈페이지 게시판 관리에 주의를 기울여야 할 것”이라고 지적했다.

해커들은 자동 탈옥시키는 PDF 소스에 몇 가지 기능을 추가하면 탈옥한 다른 사람의 아이폰으로 원격지에서 음성 도청 및 영상 촬영, 폰 내부에 저장한 사진 등 사생활 정보를 모조리 탈취할 수 있다.

시큐빌 관계자는 “사용자가 잠자는 야간 시간대에 탈옥 아이폰 IP주소를 이용해 아이폰을 원격제어해 볼 수 있는 상용 프로그램인 VNC뷰어 등을 이용해서 사진 · 주소록 · 이메일 등 아이폰에 저장된 모든 정보를 가져갈 수 있다”고 말했다.

현재 국내 해커커뮤니티 등에는 탈옥시킬 수 있는 PDF 파일 소스들이 떠돌고 있기 때문에 해킹에 능숙한 해커라면 이를 구해 쉽게 아이폰을 노예폰으로 만들 수 있다.

장윤정기자 linda@etnews.co.kr